Øredev离我们仅有几天的路程,我受邀作了两次演讲。 其中之一是关于我最喜欢的主题:安全性和Java EE。 它旨在实现两个目标。 一方面向典型的Java EE开发人员介绍整个应用程序安全过程和主要目标。 而且还要查看有关Java EE在满足典型需求时必须提供的内容的详细信息。 这是两件事,在我关于“ 开发人员安全意识 ”的演讲中已经解决了第一件事。 该演讲旨在使当今的安全要求与Java EE 7发行版中平台中可用的功能相匹配。
保护应用程序不仅仅与安全代码有关
很长时间以来,我们所知道的所有常见攻击仍然存在,并且人们仍然经常犯错误。 如果您想编写安全的Java EE代码并安全地使用该技术,那么您的方向正确。 但是,关于保护应用程序的安全性还有很多要学习和知道的。 还有人员和流程,以及它们如何最好地协作以构建合适的安全系统。 这种系统源自日常开发中的实践,它可以使Java EE空间更加安全。
应用程序安全性需要整体方法
为了构建安全的Java EE应用程序,需要一种用于应用程序安全的整体方法,并且必须将安全性应用于所有层和服务。 即使我们自己的应用程序之外的所有其他内容通常根本不会打扰开发人员,它也变得更加重要。 最后但并非最不重要的一点是DevOps的出现。 因此,至少知道我们周围正在发生的一切并没有什么害处。 让我们从最远的图层开始。 安全应用程序首先依赖于安全网络。 其中包括路由器,交换机,防火墙甚至应用程序级防火墙的所有内容。 它们需要打补丁并正确配置。 注意管理控制台的标准端口和密码。 接下来是操作系统层。 您的应用程序的每个部分最终都将在单独的主机(Applicationserver,数据库,Message Brokers)上运行,因此您将必须注意所有补丁程序的最新补丁和更新。 但是,共享文件系统和可能有风险的守护进程也需要提防。 完成后,是时候看看平台服务了。 这是适合JDK基本安装的位置,也适合应用程序服务器。 检查远程连接和基于Web的管理控制台的策略文件和默认密码。
从这里开始,应用程序安全性开始
处理完基础架构后,我们可以调查应用程序的安全性。 它通常分为六个部分:身份验证,授权,审核,机密性,完整性,可用性。 所有这些组件都可以防止您的系统被利用。 威胁是可能影响系统的潜在事件。 攻击会利用您系统中的漏洞。 最终,这就是我们要防止的事情。 始终遵循设计安全应用程序的最佳实践:
- 划分
- 使用最低权限
- 深入应用防御
- 不信任用户输入
- 在门口乱撞
- 安全失败
- 确保最薄弱的环节
- 创建安全默认值
- 减少攻击面
Java EE安全性入门
观看有关Vimeo的完整讨论,以了解Java EE在应用程序安全方面必须提供的功能。 并确保在评论中提供反馈,并让我知道,如果还有其他问题,您希望我以后再讨论。
进一步阅读
- JBoss密钥斗篷
- JSR 375:Java EE安全性API
- Java EE 7安全性概述
- 了解新的Java EE 8安全API对开发人员意味着什么
翻译自: https://www.javacodegeeks.com/2015/11/theft-proof-java-ee-securing-your-java-ee-enterprise-applications.html
